یک آسیبپذیری بحرانی با شناسه CVE-2023-0714 در افزونه Metform Elementor Contact Form Builder برای وردپرس شناسایی شده است. این آسیبپذیری به دلیل عدم اعتبارسنجی دقیق نوع فایلهای آپلودی در نسخههای 3.2.4 و قبل از آن، امکان اجرای کد از راه دور (RCE) را برای مهاجمان فراهم میکند.
مهاجمان با بهرهبرداری از تکنیک “Double Extension”، میتوانند فایلهای مخرب را با پسوندهای جعلی آپلود کرده و از این طریق، اجرای کد دلخواه خود را بر روی سرور هدف ممکن سازند. این آسیبپذیری به مهاجمان اجازه میدهد تا به اطلاعات حساس دسترسی پیدا کنند، سیستم را کنترل کرده و یا آن را از کار بیاندازند.
طبق ارزیابی Wordfence، این آسیبپذیری دارای امتیاز CVSS 3.x برابر با 8.1 (بحرانی) است. این امتیاز نشاندهنده خطر بسیار بالای این آسیبپذیری و امکان سوءاستفاده آسان از آن توسط مهاجمان است.
توصیه میشود تمامی کاربران افزونه Metform، به ویژه آنهایی که از نسخههای آسیبپذیر استفاده میکنند، هرچه سریعتر به نسخه 3.2.5 یا بالاتر بروزرسانی کنند. همچنین، بررسی و اعمال تنظیمات امنیتی مناسب بر روی سرور و افزونههای دیگر نیز ضروری است.
آسیبپذیری CVE-2023-0714 یک تهدید جدی برای امنیت وبسایتهایی است که از افزونه Metform استفاده میکنند. لذا، بروزرسانی سریع و اعمال اقدامات امنیتی مناسب، برای جلوگیری از سوءاستفاده مهاجمان از این آسیبپذیری، امری حیاتی است.
